中型企業Active Directory 設計部署系列二：站點的設計

轉自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，轉載和分享請註明出處。

 

 

本系列文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做

上一篇：中型企業Active Directory 設計部署系列一 子網劃分



在設計站點以前先定義一下AD裏對像的命名規則吧。簡單的說就是要對AD裏的對象制定一套命名規則，每一個公司IT部門都要嚴格按這套命名規則來對本身建立的AD對象進行命名。下面寫得不太詳細但太概的意思就是這樣。


域的名字：os.ad

域的功能級別：windows server 2003


站點命名：地點前兩個字母+公司簡稱，如：珠海總公司（ZHOS），廣州分公司（GZOS），南昌分公司（NCOS）；


服務器的命名：地點前兩個字母+OS（公司簡稱）+服務器角色兩個字母+IP地址（不足2位前面用0填充），讓人經過名字就知道這臺DC是那個分公司的，IP是多少。如珠海的DC（ZHOSDC02），重慶DC（CQOSDC02）


客戶端PC的命名：地點前兩個字母+OS（公司簡稱）+W（Workstations的意思）+3位數字編號（不足前面用0填充），如珠海的客戶端ZHOSW001,廣州的客戶端GZOSW001；

用戶登陸賬號的命名：地點前兩個字母+OS（公司簡稱）+U（Users的意思）+3位數字編號（不足前面用0填充）,如珠海用戶ZHOSU001,廣州用戶GZOSU001；

共享打印機的命名：地點前兩個字母+OS（公司簡稱）+P（Printer的意思）+3位數字編號（不足前面用0填充）,如珠海的打印機ZHOSP001,廣州的打印機GZOSP001；


下面進入咱們的主題站點的規劃，不理解站點的朋友請詳細閱讀這篇文章


「深入理解站點和複製（實現站點以管理AD中的複製）」: http://bbs.winos.cn/thread-39049-1-2.html


下圖是公司整個站點及站點複製規劃圖

下載 (56.46 KB)

2009-1-8 19:14

AD的FSMO角色規劃在珠海總公司，珠海總公司站點（ZHOS）用了3臺DC，其中2臺用於本地用戶的身分驗證，1臺用於與其它站點間的AD數據複製；

在OS分公司中每一個站點都設計了2臺DC用於冗餘，定義了橋頭服務器和至少一臺GC。

AD冗餘的具體操做請參考這篇文章:「 AD/DNS/DHCP/WINS冗餘部署實例」http://bbs.winos.cn/thread-52739-1-1.html



爲麼要劃分站點？

很簡單兩個緣由：

一、優化AD的複製；DC之間要同步AD數據，假如不劃分站點，這個同步每時每刻都在進行，並且數據是不壓縮的。若是劃分了站點就能夠控制站點到站點間的AD複製。


二、優化客戶端的登陸，當劃分了站點之後，DNS會替客戶端找本站點內的DC，這樣就加快了身份驗證過程。通過上面的規劃和配置後OS公司用戶的身份驗證都會點本地站點內的DC完成，好比說，廣州分公司的用戶會去GZOS站點內的DC去作身份驗證，南昌分公司的用戶會去NCOS站點內的DC去作身份驗證。


如今你們明白以前爲何要去劃分IP子網了吧？其實AD站點的劃分就是經過IP子網來實現的，在劃分AD站點以前首先要規劃好你的網絡地址。


什麼是站點內？什麼是站點間？

大至能夠這麼去理解，站點內是由一組高速帶寬鏈接的網絡，站點間是由一組低速帶寬鏈接的網絡。


一、站點內的複製

在站點內進行的目錄更新可能對本地客戶端產生最直接的影響，所以站內複製可實現速度優化。站點內的複製根據更改通知而自動

進行。當在某個域控制器上執行目錄更新時，站內複製就開始了。默認狀況下，源域控制器等待 15 秒鐘，而後將更新通知發送給

最近的複製夥伴。若是源域控制器有多個複製夥伴，在默認狀況下將以 3 秒爲間隔向每一個夥伴相繼發出通知。當接收到更改通知

後，夥伴域控制器將向源域控制器發送目錄更新請求。源域控制器以複製操做響應該請求。3 秒鐘的通知間隔可避免來自複製夥伴

的更新請求同時到達而使源域控制器目不暇接。

對於站點內的某些目錄更新，並不使用 15 秒鐘的等待時間，複製會當即發生。這種當即複製稱爲緊急複製，應用於重要的目錄更

新，包括賬戶鎖定的指派以及賬戶鎖定策略、域密碼策略或域控制器賬戶上密碼的更改。



二、站點間複製：
可用帶寬有限且可能不可靠
全部站點間的複製流量都通過壓縮
更改的複製將按手動定義的計劃進行

Active Directory 處理站點之間的複製（或稱站點間複製）與處理站點內的複製所用方法不一樣，由於站點之間的帶寬一般是有限

的。Active Directory 信息一致性檢查器 (KCC) 使用開銷最低的跨越樹設計創建站點間複製拓撲。站點間複製被優化爲最佳的帶

寬效率，而且站點之間的目錄更新可根據可配置的日程安排自動進行。在站點之間複製的目錄更新被壓縮以節省帶寬。





下面出個題目考考你們，假如你是珠海總公司員工，帶着你的筆記本電腦去南昌分公司出差，到了分公司之後，接入分公司網絡這個時候你的身分驗證是在那裏完成的？

下一篇：中型企業Active Directory 設計部署系列三 AD架構的設計（上）


本系列文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做